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27 maggio 2020—Sulle pagine di ZeusNews.it ben due articoli sono stati dedicati 
da Cassandra al tema della indispensabile pubblicazione dei sorgenti di Immuni. 


Disclaimer: Cassandra è una, ed anche non più giovanissima; se la veloce 
analisi fatta contenesse errori fattuali, sarà lieta di fare le debite ammende. 


Ieri su Github sono stati pubblicati i sorgenti di Immuni, relativi ad ambedue 
le versioni Android ed iOS. Si tratta di 5 repository separati, che includono 
documentazione e file di servizio. Il tutto viene pubblicato sotto licenza Affero 
GPL3. 


Questo per quanto attiene ai fatti. 


Innanzitutto deve essere chiaro che questa pubblicazione non è una promessa 
mantenuta, ma un atto dovuto per legge, trattandosi di un software svilup- 
pato per una PP.AA., oltre che un adempimento tecnicamente necessario sia 
come buona pratica informatica che per massimizzare le difficili possibilità di 
successo dell’app stessa. 


Deve essere altrettanto chiaro che non si tratta di un punto di arrivo, 
ma del punto di partenza di un lungo cammino, che deve essere percorso 
nella sua interezza pena l’inutilità di quanto iniziato con la pubblicazione dei 
sorgenti. 


Ora alcuni dovuti e necessari commenti. 


La licenza sotto cui vengono rilasciati i sorgenti, Affero GPL3 differisce dalla 
GPL3 in quanto, detto in soldoni, è pensata per applicazioni di rete, e non 
obbliga alla pubblicazione dei sorgenti delle librerie utilizzate. 


In questo contesto la sua adozione può essere ragionevole, ma è indispensabile 
che nella documentazione vengano elencate le librerie utilizzate e non incluse, le 
loro versioni ed i loro titolari, ma soprattutto la documentazione tecnica delle 
API (Application Programming Interface) utilizzate, e l’utilizzo dettagliato che 
ne viene fatto nel programma. 


Senza queste indicazioni quanto fornito diventa, dal punto di vista della fiducia, 
quasi inutile perché, pensando “andreottianamente”, basterebbe segregare un 


eventuale codice che si voglia nascondere in una libreria affidata ad un altro tito- 
lare per poter inserire nell’app qualsiasi funzionalità “diabolica”. In più si tratta 
di documentazione utile agli sviluppatori stessi, sia che debbano manutenere e 
sviluppare il codice, sia che debbano verificarlo. 


Un altro punto essenziale è permettere, od almeno agevolare, la riproducibilità 
binaria dell’applicazione; qui una nota davvero dolente perché le informazioni 
e gli script che lo permetterebbero non sembrano inclusi in quanto ad oggi 
rilasciato. 


Anche il modulo di documentazione è molto scarno, non contiene tracciati record, 
è molto preliminare insomma, certamente non adeguato ad un’app che, per 
quanto comunicato, sta per essere rilasciata. 


Last, but not least, manca tutto il codice della parte server, come codice sorgente 
che (almeno) come descrizione funzionale e di scambio di dati dell’applicazione 
client/server complessiva. 


Ora, come già detto, siamo all’inizio di un percorso; da oggi dovremo vedere, 
quasi con frequenza quotidiana, commit a getto continuo, specifiche che diven- 
tano complete, rilasci di ulteriori file e moduli e così via. 


Se questo non accadrà, ed anche Cassandra spera sinceramente che accada, tutto 
il circolo virtuoso di verifica indipendente, segnalazione di bug ed aumento della 
sicurezza e della fiducia complessiva, ora appena iniziato, si fermerà inesorabil- 
mente, e quanto fatto ieri si ridurrà ad un’operazione poco più che di facciata. 


Una speranza in più a Cassandra viene, quasi paradossalmente, dal documento 
del Copasir, il Comitato parlamentare per la sicurezza della Repubblica, pre- 
sieduto da Raffaele Volpi, che appare, pur nella sua sinteticità, ben orientato 
sia da un punto di vista tecnico che di problematiche segnalate; sembra davvero 
un buon lavoro. 


Se il Governo intende davvero muoversi su linee di trasparenza e di buona pratica 
informatica, certamente vedremo presto avverarsi molti degli auspici di Cassan- 
dra. 
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